EASM: Qué Es y Por Qué Supera al ASM Tradicional

Busca "ASM" en Google. Los primeros resultados son sobre ensamblador (Assembly Language), sobre Oracle ASM (Automatic Storage Management) y, en algunos países, sobre una empresa de mensajería. Cuando por fin aparece un resultado sobre seguridad, es un artículo genérico de un vendor americano traducido con IA al español. No ayuda.

El problema no es solo de SEO. El problema es que "ASM" como término de búsqueda es ambiguo, y esa ambigüedad se traslada al mercado. Cuando un CISO dice "necesitamos ASM", puede estar hablando de monitorización del perímetro externo, de agregación de datos de herramientas internas, o de un concepto paraguas que abarca todo lo anterior. Esa confusión tiene consecuencias prácticas: equipos que compran la herramienta equivocada para el problema que tienen.

La industria lo resolvió hace años con un término específico: EASM — External Attack Surface Management. La "E" de External no es decorativa. Define exactamente qué hace la herramienta: monitoriza tu perímetro externo de forma continua, desde la perspectiva de un atacante, sin necesitar credenciales ni acceso interno. Si ya has leído nuestra guía sobre qué es ASM, piensa en EASM como la categoría que importa dentro de ese paraguas.

Vamos a desmontarlo pieza por pieza.

¿Qué es EASM? Respuesta rápida

EASM (External Attack Surface Management) es la disciplina que descubre y monitoriza en continuo todos los activos de una organización accesibles desde Internet: dominios, subdominios, IPs, servicios web, APIs expuestas, buckets cloud públicos, certificados SSL y configuración DNS.

Su objetivo es ver la empresa exactamente como la ve un atacante externo, sin asumir ningún conocimiento previo de la infraestructura. Un EASM típico empieza con un solo dominio raíz y descubre el resto de la superficie por correlación.

EASM se diferencia de ASM en que EASM cubre sólo activos externos, mientras que ASM también incluye la superficie interna corporativa. En startups y SaaS cloud-nativos, EASM cubre en la práctica toda la superficie relevante porque no existe perímetro interno clásico.

---

Qué es EASM (External Attack Surface Management)

EASM es el proceso continuo de descubrir, inventariar, evaluar y monitorizar todos los activos de una organización que son visibles y accesibles desde internet, sin necesidad de credenciales, agentes instalados ni acceso a la red interna.

La palabra clave es external. EASM mira tu infraestructura desde fuera, exactamente como lo haría un atacante que no tiene acceso privilegiado a tus sistemas. No necesita que le digas qué buscar. No necesita un inventario previo. Le das un dominio raíz y descubre lo que hay.

Esto es lo que cubre un sistema EASM completo:

• Dominios y subdominios: incluidos los que nadie documentó — staging, dev, legacy, los que marketing configuró para una campaña y nunca eliminó
• Direcciones IP: tanto las asignadas directamente como las de servicios cloud que resuelven a tu organización
• Puertos y servicios expuestos: cada puerto abierto es una puerta. EASM identifica qué servicio corre detrás y en qué versión
• Certificados SSL/TLS: estado, caducidad, cadena de confianza, configuración criptográfica
• Registros DNS: configuración completa — SPF, DKIM, DMARC, CNAMEs huérfanos (vectores de subdomain takeover), registros MX mal configurados
• Tecnologías detectables: versiones de servidores web, frameworks, CMS, paneles de administración, firewalls, CDNs
• APIs expuestas: endpoints accesibles desde internet, con o sin documentación pública
• Buckets y almacenamiento cloud: S3, Azure Blob, Google Cloud Storage expuestos al público

La diferencia fundamental con un escáner de vulnerabilidades tradicional es el punto de partida. Un escáner trabaja con una lista que tú le proporcionas: "escanea estos 5 dominios y estas 10 IPs". EASM parte de la premisa opuesta: "dime qué dominios e IPs tiene esta organización, incluyendo los que la propia organización no sabe que tiene". Y luego los evalúa.

Piénsalo así: un escáner de vulnerabilidades analiza lo que conoces. EASM descubre lo que no conoces y después lo analiza. Son cosas complementarias, pero si solo tienes el escáner, estás dejando fuera todo lo que no sabías que existía. Y la experiencia nos dice que eso es mucho.

---

EASM vs ASM vs CAASM: Las Diferencias que Importan

El mercado de ciberseguridad tiene una tendencia desafortunada a crear acrónimos que suenan parecidos y significan cosas distintas. ASM, EASM, CAASM, DRPS... Si estás evaluando herramientas, necesitas saber qué hace cada categoría para no comprar algo que no resuelve tu problema.

ASM (Attack Surface Management)

ASM es el término paraguas. Significa gestión de la superficie de ataque en general, sin especificar si es externa, interna o ambas. Cuando alguien dice "necesitamos ASM", puede referirse a cualquiera de las subcategorías. Es útil como concepto, pero demasiado vago como criterio de compra.

EASM (External Attack Surface Management)

EASM es la subcategoría específica: monitorización continua del perímetro externo, sin credenciales, desde la perspectiva de un atacante. Descubre activos que la organización no tenía inventariados, evalúa su nivel de riesgo y alerta cuando algo cambia. Es lo que la mayoría de empresas necesitan como primer paso porque cubre lo que un atacante ve primero.

CAASM (Cyber Asset Attack Surface Management)

CAASM funciona de forma completamente diferente. En lugar de escanear desde fuera, CAASM se conecta a tus herramientas internas — tu CMDB, tu EDR, tu escáner de vulnerabilidades, tu directorio activo, tu inventario de cloud — y agrega los datos para construir un mapa unificado de activos. CAASM no descubre activos nuevos por sí mismo. Correlaciona lo que tus herramientas internas ya conocen.

Es un enfoque valioso cuando tienes 15 herramientas de seguridad que no se hablan entre sí y necesitas una vista consolidada. Pero no sustituye a EASM porque CAASM solo ve lo que las herramientas internas ven. Si un activo no está en ninguna de tus herramientas, CAASM tampoco lo encuentra.

Tabla comparativa

La combinación práctica

En la práctica, la mayoría de empresas necesitan EASM como base — es lo más rápido de desplegar y lo que cubre la exposición más inmediata. Desde ahí, complementas:

• EASM + CSPM: cubres el perímetro externo y las configuraciones de tus cuentas cloud desde dentro. EASM detecta el bucket S3 público desde internet; CSPM detecta la política de IAM que permite crear buckets públicos.
• EASM + DAST: EASM encuentra tus aplicaciones web expuestas; DAST las escanea en profundidad buscando vulnerabilidades aplicativas (SQLi, XSS, IDOR, autenticación rota).
• EASM + CSPM + DAST: visibilidad completa del perímetro externo, configuración cloud interna y seguridad aplicativa. Es la combinación que recomendamos como punto de partida realista.

No necesitas comprar todo el primer día. Pero sí necesitas saber cómo encajan las piezas.

---

Cómo Funciona EASM en la Práctica

Un sistema EASM opera en cuatro fases que se repiten de forma continua. No es un escaneo que lanzas una vez y te olvidas — es un ciclo que se ejecuta de forma recurrente para mantener tu visibilidad actualizada.

Fase 1: Descubrimiento (Discovery)

Esta es la fase que diferencia a EASM de cualquier otra herramienta de seguridad. El objetivo no es escanear lo que ya conoces — es encontrar lo que no sabes que tienes.

El sistema parte de un dominio raíz (o varios) y expande la búsqueda utilizando múltiples técnicas en paralelo:

• DNS pasivo: consulta bases de datos históricas de resoluciones DNS para encontrar subdominios que han existido o existen asociados a tu dominio. Fuentes como SecurityTrails, PassiveTotal o bases de datos propias contienen miles de millones de registros de resolución.
• Certificate Transparency logs: cada certificado SSL emitido por una autoridad de certificación se registra en logs públicos. Si alguien emitió un certificado para staging-interno.tuempresa.com, aparece en estos logs. EASM los rastrea para descubrir subdominios que quizá nadie documentó.
• Enumeración de subdominios: combinación de diccionarios inteligentes y permutaciones basadas en patrones detectados. Si tienes api-v1.tuempresa.com, el sistema prueba api-v2, api-staging, api-dev, etc.
• Correlación de IPs: a partir de las IPs que resuelven tus dominios conocidos, el sistema busca qué otros dominios y servicios comparten esa infraestructura. A veces descubres que un servidor que creías dedicado aloja servicios de los que nadie se acordaba.
• Análisis de registros DNS: registros MX, TXT (SPF), NS, CNAME — cada tipo aporta información sobre la infraestructura y servicios asociados a tu organización.

El resultado es un mapa de activos significativamente más amplio que cualquier inventario manual. Como explicamos en nuestra guía de ASM para empresas, encontramos de media entre 2x y 5x más activos de los que el equipo tenía documentados. No porque las empresas sean negligentes, sino porque la infraestructura moderna cambia más rápido de lo que un inventario manual puede seguir.

Fase 2: Catalogación (Inventory)

Cada activo descubierto se clasifica y enriquece con metadatos:

• Qué tecnología ejecuta (nginx, Apache, IIS, Node.js, WordPress, etc.)
• Qué versión exacta
• Qué puertos tiene abiertos y qué servicios responden en cada uno
• Estado del certificado SSL: válido, caducado, autofirmado, cadena incompleta
• Configuración DNS completa
• Cuándo se detectó por primera vez
• Si está activo o ha dejado de responder

Este inventario se actualiza automáticamente en cada ciclo de escaneo. Si un activo desaparece, se marca como inactivo (pero no se elimina del historial — eso importa para auditorías). Si aparece uno nuevo, se señala inmediatamente.

Fase 3: Evaluación de Riesgo (Risk Assessment)

No todos los activos expuestos son igual de críticos. Un servidor web con un certificado que caduca en 15 días es un problema que hay que planificar. Un panel de phpMyAdmin abierto a internet sin contraseña es una emergencia que resolver ahora.

La evaluación de riesgo contextual tiene en cuenta:

• Tipo de servicio: un servicio de base de datos expuesto es más crítico que un servidor web estático
• Vulnerabilidades conocidas (CVEs): si la versión detectada del servicio tiene CVEs publicados, especialmente con exploits disponibles
• Configuración: credenciales por defecto activas, autenticación ausente, cifrado débil
• Datos en juego: si el servicio maneja datos personales, financieros o credenciales
• Probabilidad de explotación: un CVE con exploit público y prueba de concepto funcional es más urgente que una vulnerabilidad teórica

Un buen sistema EASM no te bombardea con 500 alertas. Te dice cuáles son las 5 que importan y por qué. Y te da contexto suficiente para que tu equipo sepa qué hacer sin necesitar una investigación adicional.

Fase 4: Monitorización Continua (Continuous Monitoring)

EASM no termina con un informe. El ciclo se repite — diariamente como mínimo — y el sistema alerta cuando algo cambia:

• Nuevo subdominio detectado
• Puerto que se abre o se cierra
• Certificado que caduca o se renueva
• Servicio que cambia de versión
• Nuevo CNAME que apunta a un servicio externo
• Credencial corporativa detectada en una brecha de terceros

Esta monitorización continua es lo que cierra el hueco entre escaneos que hacía inviable el modelo tradicional de pentest anual + escaneo trimestral. En lugar de enterarte tres meses después de que un servicio lleva expuesto, te enteras en horas.

---

El Panorama EASM en Español: Un Desierto

Busca "qué es EASM" en Google en español. Los resultados son reveladores.

La primera página está dominada por artículos de vendors globales — Trend Micro, CrowdStrike, Check Point, Tenable, Microsoft Defender EASM — que son traducciones automáticas o semi-automáticas de contenido originalmente publicado en inglés. Lo notas en las construcciones gramaticales, en la terminología forzada, en los ejemplos que claramente aplican al mercado americano pero no al español.

No hay contenido nativo en español sobre EASM que sea técnicamente riguroso y que hable de la realidad del mercado español. No hay guías que mencionen el ENS, la NIS2 aplicada en España, o que den contexto sobre cómo encaja EASM en el panorama regulatorio europeo. No hay comparativas escritas por alguien que haya trabajado con empresas españolas y sepa que el problema número uno no es sofisticación técnica — es falta de visibilidad básica sobre lo que está expuesto.

Esto crea una oportunidad y un problema. La oportunidad es obvia: hay un hueco enorme para contenido de calidad en español. El problema es que las empresas españolas que buscan información sobre EASM se encuentran con material genérico que no les ayuda a tomar decisiones informadas.

Los vendors globales tratan el mercado hispanohablante como un afterthought. Traducen el contenido, lo publican, y esperan que los leads lleguen solos. El resultado es que un CTO o responsable de seguridad en España que quiere entender EASM tiene que leer en inglés o conformarse con traducciones que pierden matices técnicos importantes.

Si estás leyendo esto, probablemente ya lo hayas experimentado. Por eso estamos escribiendo este contenido: porque el mercado español necesita recursos propios, no traducciones.

---

EASM y Escaneo de APIs: BOLA, IDOR y OpenAPI

La superficie de ataque ya no es solo servidores web y subdominios. Las APIs son, en muchas empresas, el componente más expuesto y menos monitorizado del perímetro externo.

Un sistema EASM moderno tiene que cubrir la superficie de APIs de forma nativa. No como un add-on, no como una funcionalidad secundaria — como parte integral del descubrimiento y evaluación.

El problema con los escaneos genéricos de APIs

La mayoría de escáneres tratan las APIs como si fueran páginas web. Lanzan peticiones HTTP, buscan respuestas de error, prueban inyecciones SQL y XSS genéricas. Esto cubre un subconjunto mínimo de las vulnerabilidades que afectan a APIs modernas.

Las vulnerabilidades más críticas en APIs no son inyecciones. Son problemas de autorización: endpoints que devuelven datos de otros usuarios si cambias un ID en la URL (IDOR — Insecure Direct Object Reference), APIs que permiten acciones privilegiadas sin verificar el rol del usuario (BOLA — Broken Object-Level Authorization), endpoints que exponen más campos de los necesarios (Excessive Data Exposure).

Estas vulnerabilidades no se detectan con un escáner genérico que lanza payloads predefinidos. Se detectan con un escáner que entiende la estructura de la API, los roles de usuario y las relaciones entre endpoints.

Cómo debería funcionar el escaneo EASM de APIs

Un sistema EASM con cobertura real de APIs hace lo siguiente:

1. Descubrimiento de endpoints: detecta APIs expuestas durante la fase de descubrimiento — rutas /api/, archivos OpenAPI/Swagger públicos, endpoints que responden con JSON/XML.

2. Parsing de especificaciones OpenAPI: si la API tiene una especificación OpenAPI o Swagger publicada (y muchas la tienen sin que nadie lo sepa, en /docs, /swagger.json, /openapi.yaml), el escáner la parsea para entender la estructura completa: endpoints, métodos, parámetros, esquemas de autenticación.

3. Tests de autorización multi-rol: el escáner prueba cada endpoint con diferentes niveles de privilegio. Hace una petición como usuario A, otra como usuario B, otra sin autenticación. Compara las respuestas. Si el usuario B puede acceder a los datos del usuario A, eso es un BOLA. Si un usuario sin privilegios puede ejecutar acciones de administrador, eso es Broken Function-Level Authorization.

4. Detección de datos excesivos: compara los campos que devuelve la API con los que el cliente realmente necesita. Si un endpoint de perfil de usuario devuelve el hash de la contraseña, el número de seguridad social o tokens internos, eso es Excessive Data Exposure (número 3 en el OWASP API Security Top 10).

Esto va mucho más allá de lanzar templates genéricos de Nuclei contra un endpoint y esperar que salte algo. Requiere comprensión de la lógica de negocio de la API, y eso es exactamente lo que diferencia un escaneo útil de un informe con ruido.

Si tu empresa expone APIs — y hoy en día casi todas lo hacen — necesitas que tu solución EASM las cubra como activos de primera clase. Puedes profundizar en cómo abordamos esto en nuestra solución de seguridad de APIs.

---

EASM para Compliance: ENS, NIS2, ISO 27001

EASM no es solo buena práctica de seguridad. Es un control que mapea directamente a requisitos específicos de los marcos de compliance más relevantes en España y Europa. Si tienes que cumplir alguno de estos marcos — o lo vas a tener que cumplir pronto — EASM genera evidencia continua que simplifica auditorías.

ISO 27001: Controles del Anexo A

Dos controles del Anexo A de ISO 27001:2022 encajan directamente con lo que EASM proporciona:

A.5.9 — Inventario de activos de información. Este control exige que la organización mantenga un inventario actualizado de los activos asociados a la información y las instalaciones de procesamiento de información. Un inventario manual que se desactualiza cada semana no cumple el espíritu de este control. EASM descubre y mantiene el inventario de activos externos de forma automática y continua. Cada ciclo de escaneo actualiza el inventario y registra cambios con timestamps — exactamente el tipo de evidencia que un auditor quiere ver.

A.8.8 — Gestión de vulnerabilidades técnicas. Este control requiere que se obtenga información oportuna sobre las vulnerabilidades técnicas de los sistemas de información en uso, que se evalúe la exposición de la organización a dichas vulnerabilidades, y que se tomen las medidas apropiadas. EASM detecta servicios con versiones vulnerables, configuraciones débiles y exposiciones de forma continua, generando registros auditables de detección, evaluación y seguimiento de la remediación.

Si estás en proceso de certificación ISO 27001 o mantenimiento de la certificación, EASM automatiza la generación de evidencia para estos controles. Puedes ver más detalle sobre estos controles en nuestros artículos sobre controles técnicos de ISO 27001 en cloud y ENS + ISO 27001: controles técnicos.

NIS2: Artículo 21

La directiva NIS2, en su Artículo 21, establece que las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad. Entre las medidas específicas que menciona:

• Análisis de riesgos y políticas de seguridad de los sistemas de información: EASM proporciona datos continuos sobre la exposición real del perímetro externo, alimentando el análisis de riesgos con información actualizada en lugar de snapshots trimestrales.
• Gestión de vulnerabilidades, divulgación y detección: EASM detecta vulnerabilidades conocidas en servicios expuestos de forma continua, con priorización basada en riesgo real.
• Evaluación de la eficacia de las medidas de gestión de riesgos de ciberseguridad: los informes históricos de EASM permiten demostrar cómo evoluciona la superficie de ataque a lo largo del tiempo y cómo responde la organización a los hallazgos.

NIS2 entró en vigor en enero de 2023 y los Estados miembros tenían hasta octubre de 2024 para trasponerla. En España, la transposición avanza con el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Las empresas que ya tienen visibilidad continua de su perímetro externo estarán mejor posicionadas cuando los requisitos se apliquen en firme.

ENS (Esquema Nacional de Seguridad)

Si trabajas con la administración pública española o aspiras a hacerlo, el ENS es obligatorio. El Real Decreto 311/2022 (actualización del ENS) incluye requisitos que EASM cubre directamente:

• Inventario de activos [op.exp.1]: el ENS requiere un inventario actualizado de todos los activos del sistema. Para el perímetro externo, EASM automatiza este inventario con descubrimiento continuo.
• Gestión de vulnerabilidades [op.exp.4]: el ENS exige la identificación y corrección de vulnerabilidades. EASM proporciona detección continua de servicios vulnerables expuestos a internet.
• Monitorización del sistema [op.mon]: para categorías media y alta, el ENS requiere monitorización continua. EASM cubre la monitorización del perímetro externo de forma nativa.

Dicho esto, el ENS es un marco amplio que va mucho más allá del perímetro externo. EASM cubre una parte específica — la visibilidad y gestión de activos y vulnerabilidades externas. La implementación completa del ENS requiere controles adicionales en áreas como control de acceso, protección de la información, continuidad del servicio y gestión de incidentes.

---

EASM en Vulnerabbit

Vulnerabbit nació como plataforma EASM. Es lo que hacemos desde el primer día, y es donde hemos concentrado la ingeniería.

Descubrimiento automático completo

Le das un dominio raíz. El motor de descubrimiento cruza DNS pasivo, Certificate Transparency logs, enumeración inteligente de subdominios, correlación de IPs y análisis de registros DNS. Sin inventario previo, sin configuración manual. En minutos tienes un mapa completo de tu superficie de ataque real.

Escaneo aware de OpenAPI

No nos limitamos a lanzar templates genéricos contra tus APIs. El escáner detecta especificaciones OpenAPI y Swagger publicadas, las parsea, y ejecuta tests específicos de autorización: BOLA, IDOR, Broken Function-Level Authorization. Prueba con múltiples roles para detectar problemas de autorización que un escáner genérico nunca encontraría.

Priorización por riesgo contextual

No te damos 500 alertas sin contexto. Cada hallazgo incluye: qué se encontró, por qué es un riesgo, cuál es la severidad basada en impacto real (no solo en el CVSS teórico), y qué hacer para resolverlo. Las cosas críticas las ves en los primeros cinco minutos.

Monitorización continua

Escaneo diario del perímetro completo. Cada nuevo subdominio, cada puerto que se abre, cada certificado que caduca, cada cambio en DNS — genera una alerta que llega donde trabaja tu equipo. Sin que nadie tenga que acordarse de lanzar un escaneo manual.

Copiloto de IA

Recomendaciones de remediación específicas para tu stack. No consejos genéricos de "actualice a la última versión". Instrucciones concretas adaptadas a la tecnología que detectamos en cada servicio. Si el hallazgo es en un nginx, las instrucciones son para nginx. Si es un panel de Grafana expuesto, las instrucciones son para securizar Grafana.

Precio transparente

Desde 49 euros/mes. Publicado en la web. Sin formularios de "solicite una demo". Sin "precios personalizados" que significan "no te lo decimos hasta que hables con un comercial". Planes claros para cada tamaño de empresa.

---

Empieza por lo básico

Si has llegado hasta aquí, probablemente ya sabes que necesitas visibilidad sobre tu perímetro externo. La buena noticia es que no necesitas un proyecto de tres meses para empezar.

Puedes hacerte una idea del estado de tu superficie de ataque ahora mismo con nuestro escáner gratuito. Analiza tu dominio en segundos y recibe un informe con los hallazgos principales: configuración DNS, certificados SSL, puertos expuestos, cabeceras de seguridad, registros de email. Sin compromisos, sin datos de tarjeta, sin llamadas comerciales.

Si lo que necesitas es monitorización continua con descubrimiento automático, escaneo de APIs, priorización por riesgo y alertas en tiempo real, eso es Vulnerabbit ASM. Desde 49 euros/mes, setup en una tarde, resultados el mismo día.

No esperes al próximo pentest anual para descubrir que llevas seis meses con un panel de administración abierto a internet. Descúbrelo hoy.